Nyílt sebezhetőség: bárki beküldhet támadó kódot
A támadók egy speciálisan kialakított Sentry-hibabejelentést használtak, amelyet egy nyilvános – tehát bármilyen illetéktelen hozzáférés nélkül elérhető – hitelesítő adaton keresztül küldtek be. A hibajelentésbe rejtett parancsokat a Claude Code, a Cursor és a Codex MI-ügynökök megbízható diagnosztikai adatként futtatták le a fejlesztők nevében. Több mint 100 célponton tesztelték a módszert: 85%-os sikerességgel ment át minden védelmi rétegen. A Sentry hivatalosan is elismerte, hogy a sebezhetőség technikailag nem védhető.
Ezenfelül a Cloud Security Alliance néhány napon belül rendszerszintű sebezhetőségként azonosította az úgynevezett agentjackinget. Nem történt hitelesítő adat ellopása, nem szegtek meg házirendet, nem volt hálózatfeltörés – minden lépés hivatalos és engedélyezett csatornán át ment végbe. Ez emeli veszélyes szintre a problémát. A kutatók 2 388 olyan szervezetet azonosítottak, ahol nagyszabású támadások indíthatók lennének – egy mintatámadás során még titkos AWS-kulcsokat és privát repository-linkeket is megszereztek.
Nincs hatékony védekezés, mert minden lépés jogos
A támadás azért működik, mert minden folyamat teljesen hivatalos. A támadó egyszerűen elküldi a saját hibajelentését a Sentry API-ján a nyilvános DSN-en át, a szerver visszaadja az abba csempészett parancsot, amit aztán az MI-ügynök fejlesztői jogosultsággal végrehajt. Egyik védelem sem generál szignált. Miközben a fejlesztő csak ártalmatlan hibaüzeneteket lát, a háttérben már kiszivárognak a tokenek.
A SOC-csapatok soha nem különböztették meg, hogy a git- vagy npm-parancsot most egy fejlesztő vagy egy MI-ügynök indította el. A legtöbb rendszer itt óriási vakfolttal dolgozik. Ha a cégednél az MI-kódoló ügynökök csatlakoznak Sentryhez, Datadoghoz, PagerDuty-hoz, Jira-hoz vagy bármilyen más, fejlesztők által megbízhatónak hitt MCP-adatforráshoz, és képesek shell-parancsokat futtatni, ugyanennyire vagy kitéve.
Nagyon kevés cég kezeli rendesen az MI-ügynököket
Öt független felmérés a legnagyobb vállalatok bizalmát mérte az MI-ügynökök iránt – és azt találta, hogy a cégek sokkal jobban megbíznak bennük, mint amit a valós védekezés indokolna.
Csak a vállalatok 34%-a alkalmaz ugyanolyan kontrollokat az MI-ügynökök esetén, mint az embereknél. Az alkalmazottak 52%-a használ tiltott MI-eszközt, és 58%-a emlékezett MI-hez köthető incidensre az elmúlt évben. Az MI-ügynökök 33%-a túllépi a jogosultságát, 31%-uknál nem tudták megmondani, volt-e MI-biztonsági incidens. A legtöbb cégben ráadásul az MI-ügynökök csak 14,4%-ánál végeznek valódi biztonsági ellenőrzést bevezetés előtt. Hiába nőtt kétszeresére az ügynökök mennyisége, a monitoringot nem sikerült jelentősen bővíteni.
A runtime-biztonsági szakadék
A szakértők szerint az MI-ügynökök biztosítása éppolyan komplex, mint a kiemelt jogosultságú felhasználóké. Van identitásuk, hozzáférést kapnak alapvető rendszerekhez és döntéseket is hoznak. A gond az, hogy futási idő alatt (runtime) nincs összetett biztonsági ellenőrzés, amit kihasználnak a támadók.
A CrowdStrike szerint több mint 1 800 MI-ügynök-alkalmazás fut a nagyvállalatok eszközein, ezekből mintegy 160 millió példány van monitorozva, de a klasszikus statikus szabályrendszerek már nem elegendőek. Ezért indult el júniusban a Charlotte MI Agent Security, ami minden MI-műveletet valós időben hitelesít és engedélyez. A sandbox (elszigetelt környezet) önmagában kevés, mert a valódi érték az MI-ügynökök jogosultságaiban rejlik — minden engedélyezés új támadási felületet jelent.
Irányítási káosz, korlátos költségvetéssel
Sokan úgy gondolják, hogy elég az új MI-szabályokat felületesen végigvinni, de a szervezeti szintű kockázatelemzés hiányzik. Ha a cégnél az MI-governance hat különböző költségvetési sor között oszlik meg, senki sem tudja biztosan, a gépi ügynököknek ugyanolyan hozzáférési auditja van-e, mint az embereknek. A dolgozók és a felsővezetők szabályismertsége között 22 százalékpontos szakadék tátong: míg a vezetők kétharmada hiszi, hogy világos az MI-szabályzat, a dolgozók csak 43%-a ért egyet.
A belső irányítás így papíron létezik, de a gyakorlatban az alkalmazottak 54%-a munkacsoportos üzeneteket, 45%-a HR-adatokat, 39%-a bizalmas dokumentumokat oszt meg jóvá nem hagyott MI-ügynökökkel.
Az öt kérdéses szakadékteszt
Félrevezető biztonságérzet helyett minden informatikai vezetőnek le kellene futtatnia az ötkérdéses szakadéktesztet:
1. Mekkora arányban vizsgálnak át minden MI-ügynököt, MCP-kapcsolatot és LLM-automatizmust a bevezetés előtt?
2. Ugyanolyan audit-vizsgálatot, jogosultságkezelést kapnak ezek, mint az emberek?
3. Túllépett-e az elmúlt évben bármelyik ügynök a jogosultságán?
4. A dolgozók legalább fele el tudja mondani, mik az MI-ügynök-szabályok?
5. A biztonsági csapat tud bizonyosan MI-hez köthető incidenst beazonosítani az elmúlt évből?
Ezekre a kérdésekre adott válaszok alapján kiderül, mennyire lát a cég valójában rá a saját kockázataira, és érdemes minden új MI-beszerzés előtt ezt végigvinni.
Mi a teendő most?
Az Európai Unió MI-rendeletének magas kockázatú megfelelési követelményei 2026. augusztus 2-től kötelezőek lesznek. Ezenfelül a legfontosabb lépés, hogy minden ügynökről, MCP-kapcsolatról és automatizmusról készüljenek pontos, teljes leltárak; ezek elvégzéséig semmilyen új beszerzési döntést nem érdemes meghozni. Minden MI-ügynököt saját jogú kiemelt belső felhasználóként kell kezelni. Az ügynökök cselekedeteinek valós idejű, ügynökre lebontott megfigyelése és visszakövethetősége nélkül minden klasszikus védelem megkerülhető lesz – és ezt a támadók a gyakorlatban már bizonyították. Az engedélyezett nem egyenlő a biztonságossal. Mostantól az ügynökök valódi viselkedését kell nézni, nem azt, hogy a szabályzat mit mond róluk.
